La sanità è il settore più colpito a livello globale. Nel nostro Paese bersagliato il manifatturiero; gli attacchi alla sanità crescono dell’83% rispetto al primo semestre 2023
Con 1.637 attacchi cyber rilevati nel mondo – una media di 273 al mese, contro i 230 dello scorso anno e i 139 del 2019 – il primo semestre 2024 conferma il trend di crescita delle incursioni cibernetiche nel mondo. I dati, rilevati e analizzati dai ricercatori di Clusit, Associazione Italiana per la Sicurezza Informatica, sono stati illustrati questa mattina nel contesto di Security Summit Streaming Edition, appuntamento che riunisce esperti del settore, aziende e professionisti per approfondire i temi più attuali della cybersecurity.
Il convegno si è aperto con la presentazione dell’edizione di fine anno del Rapporto Clusit 2024, che riporta i dati del primo semestre 2024, a cura di alcuni degli autori: Luca Bechelli e Alessio Pennasilico, del Comitato Scientifico Clusit, e Sofia Scozzari e Anna Vaccarelli, del Comitato Direttivo Clusit.
Nel primo semestre 2024 i ricercatori hanno evidenziato una crescita degli eventi di cyber security pari al 23% rispetto al semestre precedente, dato definito “preoccupante” dai ricercatori Clusit soprattutto se confrontato con i dati del 2023, che avevano segnato un aumento a livello globale dell’11% rispetto all’anno precedente.
Oltre alla crescita costante della frequenza degli incidenti, anche la valutazione dell’indice di gravità degli attacchi registrati dai ricercatori di Clusit è andata aumentando anno dopo anno, rappresentando così un ulteriore fattore di moltiplicazione dei danni.
Complessivamente, nel primo semestre di quest’anno l’81% degli eventi registrati ha avuto impatti gravi verso gli obiettivi, in linea con lo scorso anno. Oltre un terzo ha avuto un impatto “critico”, percentuale in calo rispetto allo scorso anno (dal 38% al 31%) a favore degli eventi di severity “alta”, in aumento dell’8% rispetto allo scorso anno (dal 42% al 50%).
La tendenza negli ultimi cinque anni
L’analisi dei ricercatori di Clusit ha preso in particolare considerazione l’arco temporale degli ultimi cinque anni, evidenziando un incremento degli attacchi nel mondo del 110% dal 2019 al 2024; nel primo semestre del 2024 si è verificato il 13% degli attacchi portati a termine nei cinque anni. Si tratta del numero di incidenti più elevato di sempre[2], ben oltre la linea di tendenza previsionale stimata sulla base dell’andamento dell’ultimo quinquennio.
Se, cinque anni fa, i ricercatori di Clusit rilevavano a livello globale una media di 4,5 eventi al giorno, oggi ne classificano mediamente 9.
“Oltre all’incremento dei danni causato dal cybercrime e dalle normali attività di intelligence che osserviamo ormai da molti anni, si conferma nel primo semestre 2024 la fase di conflittualità cibernetica diffusa in cui siamo entrati nel 2022, ulteriormente cresciuta nel 2023 anche a causa dell’allargamento del conflitto tra Israele e le milizie islamiche supportate dall’Iran in vari paesi dell’area medio-orientale”, ha affermato commentando i dati globali Sofia Scozzari, del comitato direttivo Clusit.
Considerazioni sull’Italia
Nel primo semestre di quest’anno, i ricercatori di Clusit hanno registrato un lieve calo nel numero degli attacchi nel nostro Paese rispetto allo stesso periodo del 2023, con un totale di 124 eventi, corrispondenti al 7,6% del totale. Tuttavia, come confermato nel corso della presentazione del Rapporto Clusit, il numero significativo di eventi continua a indicare una situazione di allerta in Italia.
Come nel resto del mondo, gli attacchi critici sono stati in diminuzione (8% rispetto al 13,5% del 2023), a dispetto quelli di gravità elevata, che invece hanno rappresentato il 50% del totale, in crescita rispetto allo scorso anno e in linea con il dato globale.
“I dati parziali del primo semestre 2024 mostrano una leggera diminuzione degli incidenti avvenuti in Italia; sono segnali positivi ma che riteniamo prematuro considerare come un alleggerimento della pressione, e che potrebbero essere causati da una fluttuazione stagionale. In ogni caso, anche nel primo semestre 2024 il numero di incidenti subiti dal nostro Paese è sproporzionatamente alto rispetto alla nostra popolazione ed al PIL nazionale in rapporto col PIL mondiale, il che certamente merita un’attenta riflessione ed azioni concrete di mitigazione”, ha dichiarato Andrea Zapparoli Manzoni, del comitato scientifico Clusit.
Gli attacchi rilevati nel nostro Paese sembrano tuttavia danneggiare in maniera meno critica rispetto al resto del mondo: gli incidenti con impatto grave sono infatti notevolmente più bassi (8% contro 31%). Risultano molto più numerosi gli incidenti con impatto medio, ma i loro danni sono più circoscritti (41% contro 19%).
Le finalità degli attacchi nel mondo e in Italia
Il cybercrime, che caratterizza le attività volte al guadagno economico, è stato la prima causa degli attacchi nel mondo nel primo semestre 2024 (88% del totale, in crescita di 5 punti percentuali rispetto al primo semestre del 2023 e di oltre 23 punti percentuali rispetto al primo semestre 2023). A completare lo scenario, si sono verificati nel periodo attacchi riconducibili ad azioni di hacktivism (6%), a espionage/sabotage (4%) e information warfare (2%), tutti in lieve decrescita percentuale rispetto al 2023.
I ricercatori di Clusit hanno notato che la tendenza complessiva degli incidenti causati da attacchi a sfondo politico, sociale e di information warfare sembra tornare negativa, nonostante l’acuirsi e l’estensione progressiva dei conflitti già attivi nel 2023. Occorre tuttavia ricordare che diversi governi, ed in particolare Russia, Nord Corea e Cina, utilizzano gruppi cybercriminali come esecutori materiali di alcune attività di intelligence, complicando il quadro dell’attribuzione delle reali motivazioni di un buon numero di incidenti.
Anche nel nostro Paese sono stati nei primi sei mesi di quest’anno gli attacchi con finalità di cybercrime ad avere il maggiore impatto nello scenario complessivo (71% dei casi, contro il 63,5% del 2023) – seguito da hacktivism, fenomeno che continua a mantenersi su percentuali più elevate rispetto al resto del mondo (29%).
Analizzando la situazione italiana, gli autori del Rapporto Clusit hanno però evidenziato che, rispetto al secondo semestre del 2023, da gennaio a giugno del 2024 si è registrata una diminuzione del cybercrime (-17% degli attacchi) e dell’hacktivism (-50% degli attacchi).
“Osserviamo che la riduzione degli attacchi in Italia nel primo semestre del 2024 è principalmente attribuibile al calo del fenomeno dell’hacktivism, che contribuisce per due terzi alla diminuzione complessiva degli attacchi. Inoltre, abbiamo notato una significativa riduzione degli attacchi DDoS, tradizionalmente tra i più utilizzati dagli attivisti, che sono calati del 52%”, ha confermato Luca Bechelli, membro del comitato scientifico di Clusit. “Tuttavia, le organizzazioni italiane risultano particolarmente vulnerabili a iniziative con finalità dimostrativa, di natura politica o sociale: infatti, oltre un terzo del totale degli incidenti classificati come hacktivism a livello globale è avvenuto ai danni di enti o imprese italiane”, ha concluso Bechelli.
Non sono stati registrati nel nostro Paese casi di espionage/sabotage e information warfare.
Chi viene attaccato nel mondo e in Italia
Quasi un incidente su cinque nel primo semestre 2024 è stato rivolto al settore della sanità, che risulta il più attaccato a livello mondiale, con il 18% degli incidenti (erano il 14% nel 2023). In valore assoluto, si tratta di 296 incidenti in soli sei mesi, pressoché lo stesso dato dell’intero 2022 (304 attacchi).
Secondi, tra gli obiettivi, con il 16% degli attacchi, i “multiple targets”, bersagli appartenenti a diversi settori colpiti contemporaneamente con l’obiettivo di mietere il maggior numero di vittime possibile, in costante crescita rispetto al passato.
Segue il settore governativo, militare e delle forze dell’ordine, con il 13% degli attacchi, e il settore finanziario e assicurativo, con l’8%, che mostra un’incidenza sul totale in calo del 3% rispetto al 2023.
Superando in un semestre il numero degli incidenti dell’intero anno precedente, Il settore news/multimedia registra invece il triste primato di crescita di tutta la classifica, raggiungendo l’ottavo posto dal dodicesimo del 2023.
Anche nel comparto delle associazioni ONG e di categoria, del commercio all’ingrosso e al dettaglio, così come dell’energia e utilities, il numero degli incidenti del I semestre 2024 supera, in qualche caso in modo significativo, il 70% del totale dell’intero 2023.
In Italia, cambia lo scenario: nel primo semestre 2004 è stato il comparto manifatturiero la prima vittima, con il 19% degli attacchi (in crescita dal 13% nel 2023). Da notare che oltre un quarto (28%) del totale degli eventi cyber rivolti al comparto globale riguarda realtà manifatturiere italiane, ricalcando la peculiarità del tessuto economico del nostro Paese, come hanno rilevato gli autori del Rapporto Clusit.
Seguono i “multiple targets”, con il 13% degli attacchi e il settore governativo, militare e delle forze dell’ordine, con l’11% degli attacchi. Appaiono inoltre particolarmente presi di mira anche i settori trasporti e logistica (11%), la sanità (9%), il settore professionale /scientifico/tecnico (8%) e associazioni ONG e di categoria (7%). Seguono i comparti ICT, arti /intrattenimento (entrambi al 4%) e finanziario/assicurativo, che si attesta poco sopra il 2%.
È, tuttavia, il settore sanitario italiano a destare le maggiori preoccupazioni se guardato in prospettiva temporale, come hanno evidenziato i ricercatori di Clusit. Infatti, nel primo semestre 2024, gli incidenti rilevati ai danni di questa categoria sono comparabili in numero a quelli individuati nell’intero anno 2023. La crescita rispetto allo stesso periodo dello scorso anno è pari all’83%, confermando la preoccupante tendenza che vede un significativo aumento dell’attenzione da parte dei cybercriminali nei confronti di un comparto particolarmente critico.
La geografia degli attacchi
Nel semestre gennaio-giugno 2024 si conferma la preponderanza di vittime americane (41% degli attacchi, in leggera diminuzione rispetto al 2023); il 29% è stato sferrato verso l’Europa (in crescita rispetto al 23% del 2023).
Letto in valore assoluto, con 469 incidenti che hanno avuto vittime in Europa, il dato evidenzia che nel solo I semestre 2024 si sono registrati nel nostro continente circa il 75% degli incidenti di tutto il 2023.
In Asia è stato registrato l’8% degli attacchi mondiali. Secondo i ricercatori di Clusit, considerato il peso rilevante dell’economia del continente a livello mondiale, il valore potrebbe essere influenzato dall’ancora limitata efficacia di normative che obbligano le organizzazioni a notificare gli incidenti più gravi.
Il 17% degli attacchi è avvenuto parallelamente verso località multiple, mentre rimane marginale la componente, sul totale, degli incidenti riferibili ad Oceania (4%), comunque in crescita, e Africa (1%).
Le tecniche d’attacco
Nel primo semestre 2024 oltre un terzo degli attacchi nel mondo è stato causato da malware (34%). Sebbene questa categoria comprenda molte tipologie di codici malevoli, il ransomware è in assoluto quella principale e maggiormente utilizzata grazie anche all’elevata resa economica per gli aggressori, che spesso collaborano fra loro con uno schema di affiliazione, come hanno commentato gli autori del Rapporto Clusit.
Gli incidenti basati sullo sfruttamento di vulnerabilità costituiscono come nel 2023 la seconda tecnica più utilizzata (al 14%, in discesa di 4 punti percentuali rispetto al 2023). Il phishing risulta stabile (8%) al terzo posto, sebbene la crescita del numero degli eventi registrati in valore assoluto sia superiore alla media delle categorie precedenti.
Per oltre un incidente su quattro (26%) non è possibile, da fonti pubbliche, determinare la tecnica utilizzata; questo dato è in aumento di 5 punti percentuali rispetto al 2023.
Anche in Italia il malware è cresciuto nel semestre, ed è stato la causa di oltre metà degli attacchi verso le vittime del nostro Paese (51% degli attacchi contro il 33% del 2023); gli attacchi DDoS, che mirano a rendere inaccessibile/inutilizzabile un servizio online sovraccaricandone le risorse, sono scesi invece in seconda posizione (27% contro il 36% del 2023), ma con un peso significativamente maggiore rispetto a quello occupato a livello globale.
Ancora una volta, si evidenzia – secondo gli esperti di Clusit – la correlazione con gli incidenti causati da campagne di Hacktivism: molto spesso la tecnica di attacco utilizzata dagli hacktivist è proprio il DDoS, poiché si punta a interrompere l’operatività di servizio di organizzazioni o istituzioni, rendendo evidente al pubblico un messaggio di denuncia o protesta.
Phishing e social engineering, che puntano sullo sfruttamento della vulnerabilità del fattore umano, sono stati la causa del 7% degli attacchi nel nostro Paese. Si tratta di una lieve diminuzione, secondo i ricercatori di Clusit, che tuttavia continua a costituire una minaccia sostanziale per le organizzazioni e porta in primo piano la necessità di potenziare e rendere più efficaci le campagne di sensibilizzazione e formazione rivolte ai dipendenti.
Analisi del settore governativo, militare e le forze dell’ordine
Tra il 2019 e il primo semestre 2024 il campione analizzato dai ricercatori di Clusit ha incluso 1.359 eventi noti di particolare gravità che hanno coinvolto realtà governative nel mondo; quelli nel primo semestre 2024 sono stati 210, con un incremento di quasi il 63% rispetto al primo semestre 2023.
Il cybercrime è stato in questo settore la causa del 72% degli attacchi nel primo semestre di quest’anno (in crescita dal 59% del 2023), seguito da hacktivism (15%, in discesa dal 26%), espionage / sabotage (9%) e information warfare (4%).
Il malware in questo comparto si conferma come prima tecnica utilizzata (32% dei casi, in aumento rispetto all’anno scorso), seguito da tecniche non rese note (26%, dal 17% del 2023). Gli incidenti generati mediante DDoS, tipici dei fenomeni di attivismo, più che raddoppiati nel 2023 rispetto al 2022, sono ancora cresciuti: nel primo semestre 2024 infatti se ne sono verificati 42, circa i due terzi di quanti se ne sono verificati in tutto il 2023.
È interessante notare che, per questo settore, è stata l’Europa il continente più colpito, con il 43% degli attacchi (contro il 35,5% del 2023); in particolare, nel nostro continente si sono verificati, nei soli primi sei mesi del 2024, quasi tanti attacchi significativi quanti se ne erano verificati nel corso di tutto il 2023.
Il Rapporto Clusit 2024 – edizione di fine anno
All’analisi degli attacchi nel mondo e in Italia seguono all’interno del Rapporto Clusit, le rilevazioni e segnalazioni della Polizia Postale e per la Sicurezza Cibernetica, con dati su attività ed operazioni svolte nel corso dei primi sei mesi di quest’anno.
Più avanti, un approfondimento sulla evoluzione della Cybersecurity in ambito manifatturiero/industriale, con i dati di settore tratti dalle ultime rilevazioni Clusit al 30 giugno 2024 e un articolo sul Regolamento Macchine e la Cybersecurity nel settore manifatturiero, a cura di CAST.
Il Rapporto Clusit nell’edizione di fine anno 2024 si compone inoltre di un’indagine sulla Cybersecurity nelle piccole e medie imprese. Più di 500 aziende hanno risposto alla survey che è stata realizzata tra maggio e luglio 2024 dalla Camera di Commercio di Modena e dall’Università di Modena e Reggio Emilia, in collaborazione col Clusit.
Sempre ricca la sezione di approfondimento dei “Focus On” all’interno del Rapporto Clusit:
- Cybersecurity e cyber resilience nell’era del quantum, a cura di Federica Maria Rita Livelli.
- Dall’assessment cyber al trasferimento del rischio residuo nel complesso scenario di minacce e responsabilità: una collaborazione virtuosa, a cura del Centro di Competenza START 4.0 e di UnipolSai.
- Il divario di realtà – Focus sulla crescente disparità tra rischio e prevenzione negli attacchi via e-mail, a cura di Libraesva.
- Come utilizzare l’AI per accelerare detection, investigation e response, a cura di CrowdStrike.
